Ho letto ultimamente alcuni articoli che suggeriscono ai candidati, a seguito dell’entrata in vigore del GDPR, per evitare che la propria candidatura sia “cestinata” dai recruiter, di inserire o di modificare la “liberatoria” in fondo al CV. In particolare, senza l’autorizzazione (sottoscritta) al trattamento dei dati personali nel CV da parte del candidato, l’azienda a cui quest’ultimo ha inviato il proprio curriculum vitae non potrebbe utilizzare i dati ivi contenuti e, di conseguenza, convocarlo per un colloquio.
In realtà, il Regolamento (UE) 2016/679 (“GDPR”) va in direzione esattamente opposta a quella sopra indicata.
Il GDPR prevede, infatti, all’art. 6.1, sei basi giuridiche la cui sussistenza rende lecito il trattamento dei dati personali:
- consenso dell’interessato;
- esecuzione di un contratto con l’interessato o di misure precontrattuali adottate su sua richiesta;
- adempimento di un obbligo legale;
- salvaguardia di interessi vitali dell’interessato o di un’altra persona fisica;
- esecuzione di un compito di interesse pubblico;
- legittimo interesse del titolare o di terzi.
Il consenso, quindi, è solo una delle sei condizioni che legittimano il trattamento; costituisce una condizione di liceità al pari delle altre, posta sullo loro stesso piano.
Indice degli argomenti
Quando il consenso non è una base giuridica adeguata
Il Gruppo di lavoro per la tutela dei dati ex art. 29, nelle “Guidelines on Consent under Regulation 2016/679”, precisa che il consenso NON è una base giuridica adeguata se all’interessato non è offerta una effettiva possibilità di scelta di accettare o rifiutare il trattamento senza subire pregiudizi (Considerando 42 del GDPR); se l’interessato si sente costretto a prestare il consenso per evitare possibili conseguenze negative.
In particolare, il consenso non dovrebbe costituire un valido presupposto di legittimità del trattamento qualora, come nel contesto lavorativo, esista «un evidente squilibrio tra l’interessato e il titolare»: come precisato dal WP29 nell’Opinion 2/2017 on data processing at work (WP249), raramente i dipendenti ed i candidati sono in una posizione di prestare, negare o revocare liberamente il consenso, dato il rapporto di dipendenza e lo squilibrio di poteri che caratterizza la relazione “employer/employees” (datore di lavoro/ dipendenti o potenziale datore di lavoro/candidati).
Bisogna tenere in considerazione che il candidato, inviando il proprio CV, si propone per una posizione lavorativa all’interno di una determinata azienda la quale, per poter valutare se le competenze ed esperienze dello stesso corrispondano alle proprie esigenze, “deve” trattare i dati personali contenuti in quel CV. Il trattamento di tali dati è quindi “necessario (..) all’esecuzione di misure precontrattuali adottate su richiesta dell’interessato”. La base giuridica che appare più pertinente per il trattamento dei dati personali contenuti in un curriculum da parte dell’azienda che lo riceve non è quindi un consenso – che non sarebbe “libero” – ma è quella che riguarda le relazioni precontrattuali e i trattamenti che hanno luogo prima di stipulare un contratto di cui alla lettera b) dell’art. 6.1, e cioè “l’esecuzione di misure precontrattuali adottate su richiesta dell’interessato”, come specificato dal WP29 nella Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC.
Trattamento dei dati personali nel CV: cosa dice il nuovo Codice Privacy
Il principio che il consenso non sia dovuto nei casi in cui un candidato invii spontaneamente il proprio CV è ora, in ogni caso, espressamente sancito nel nuovo articolo 111 bis del Codice Privacy, così come novellato dal D.lgs. n. 101 del 10 agosto 2018 recante disposizioni per l’adeguamento della normativa nazionale al GDPR.
In virtù di quanto sopra, non solo i candidati che inviino la propria candidatura ad una determinata azienda a prescindere dalla pubblicazione di un’offerta di lavoro, non devono inserire alcuna “autorizzazione” al trattamento dei dati personali in calce al loro CV (è l’azienda che lo ha ricevuto che deve, come in precedenza, fornire l’informativa privacy “al momento del primo contatto”, ma nemmeno le aziende che sollecitano l’invio di un CV – ad esempio tramite un form on line del tipo “Lavora con noi” – devono prevedere, laddove il trattamento dei dati sia effettuato esclusivamente per l’attività di selezione del personale, una clausola di consenso per tale trattamento (resta inteso che un consenso sarebbe invece necessario se la stessa azienda volesse utilizzare i dati dei candidati, es l’indirizzo e-mail, per altre finalità, come quella di marketing. Non è infatti quella la finalità per cui il candidato ha inviato il CV).
Il CV contiene dati “sensibili”: cosa fare in questo caso
La questione si complica però quando il Curriculum contiene l’indicazione di disabilità o dell’appartenenza a categorie protette.
Difatti, l’art. 9.1 del GDPR vieta espressamente il trattamento di quelle che il Regolamento definisce quali “categorie particolari di dati personali”, fra cui i “dati relativi alla salute”. Ciò, a meno che non ricorra una delle ipotesi previste nel secondo comma dello stesso articolo, fra cui quelle in cui:
- l’interessato abbia prestato il “proprio consenso esplicito”;
- il trattamento sia necessario per “assolvere gli obblighi ed esercitare i diritti specifici del titolare o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
Pertanto, laddove sia necessario per “assolvere gli obblighi ed esercitare i diritti specifici del titolare o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale”, il trattamento dei dati relativi alla salute è lecito.
Da notare però che ai sensi dell’art. 9.2, lett. b), tale trattamento deve essere autorizzato dalla normativa europea o nazionale e che il quarto comma dello stesso articolo consente agli Stati membri di “mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo ai dati genetici, biometrici o relativi alla salute” e l’art. 88 di prevedere “norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, …..” (si veda anche il Considerando 155 del GDPR).
Autorizzazioni generali del Garante ancora valide per un periodo transitorio
In proposito, il D.lgs. n. 101/2018, all’art. 21, ha fatto salve, per un periodo transitorio, in base al criterio della loro compatibilità con il GDPR (cosa che potrebbe comportare difficoltà applicative e contrasti, poiché ciò che un titolare del trattamento potrebbe ritenere – all’interno di quei provvedimenti – non compatibile con il GDPR, disapplicandoli, potrebbe essere invece ritenuto dal Garante – in sede ispettiva – compatibile), le Autorizzazioni Generali del Garante che in passato avevano regolato la materia. L’art. 26, co. 4, lett. d del Codice Privacy previgente, infatti, prevedeva che dati sensibili potessero essere oggetto di trattamento “anche senza consenso, previa autorizzazione del Garante” quando il trattamento fosse necessario per “adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro” (invero, la validità delle Autorizzazioni era stata già transitoriamente prorogata dal Garante con il Provvedimento in tema di Autorizzazioni generali del Garante per la protezione dei dati personali – 19 luglio 2018).
Le autorizzazioni generali cesseranno di produrre effetti solo se ritenute dal Garante incompatibili con le disposizioni del Regolamento. Difatti, l’art. 21 del decreto ha previsto che l’Autorità, con provvedimento di carattere generale da porre in consultazione pubblica, individui le prescrizioni contenute nelle autorizzazioni generali già adottate che risultino compatibili con le disposizioni del GDPR e del Codice Privacy novellato e, ove occorra, provveda al loro aggiornamento. Solo allora le autorizzazioni generali sottoposte a verifica che saranno ritenute incompatibili con le disposizioni del Regolamento cesseranno di produrre effetti.
Pertanto, ritengo che, nelle more dell’eventuale adozione di un provvedimento di aggiornamento delle suddette autorizzazioni, il trattamento dei dati personali relativi alla salute dei candidati debba essere effettuato in conformità con le misure e garanzie previste nell’Autorizzazione n. 1/2016 – Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro – 15 dicembre 2016, senza richiedere il consenso esplicito al trattamento dei dati sensibili dei candidati che dichiarano ad esempio di appartenere a categorie protette.
Mi fa propendere per questa interpretazione anche il requisito della “libertà” del consenso di cui all’art. 7 e cons 42 del GDPR. A mio parere, sarebbe difficilmente compatibile con il GDPR un consenso “obbligatorio” come sarebbe quello al trattamento dei dati sensibili dei candidati, che, laddove non lo prestassero, sarebbero esclusi dalla selezione, subendo quindi un notevole pregiudizio.
